tcp_wraper

原創 335729167 2019-03-16 13:05

tcp_wraper:

      libwrap.so

必須在編譯的時候鏈接到libwrap.so這個庫之後才能實現調用tcp_wraper實現訪問控制


可以通過ldd來查看

[root@localhost ~]# ldd `which sshd` |grep libwrap

libwrap.so.0 => /lib64/libwrap.so.0 (0x00007fe51d88b000)


如果出現libwrap.so則能實現wraper訪問控制


靜態鏈接:把動態庫直接編譯到服務裏


strings命令查詢是否加載靜態hosts.allow和host.deny文件,如果加載,則受tcpwraper控制,否則不受控制

 strings `which portmap` | grep hosts


tcpwraper控制機制:主要由/etc/hosts.allow和/etc/hosts.deny這兩個文件進行控制

匹配順序:首先查詢/etc/hosts.allow,再查詢/etc/hosts.deny,最後默認規則是允許所有通過

/etc/hosts.allow和/etc/hosts.deny文件格式:



xinetd:超級守護進程,管理非獨立守護進程,非獨立守護進程安需啓動

standalone:獨立守護進程

超級守護進程接收tcp_wraper控制,旗下所有非獨立守護進程都受其控制




服務列表: 客戶端列表(client_list) [:選項]


服務列表有下幾種類型寫法:

        sshd:192.168.0.    

        vsftpd,sshd,in.telnetd   #可執行程序名

        ALL              #所有受tcp_wraper控制的服務

        [email protected]:1.   #本機有2個IP地址,只希望服務只接收某一個IP地址是通過tcp_wraper控制的(1網段通過192.168.1.2訪問vsftp受tcp_wraper控制)

     

客戶端列(client_list)表有下幾種類型寫法:

        IP 

        network address      

            network/mask(如192.168.1.0/255.255.255.0)

            172.16.1.

        HOSTNAME   

            FQDN       #完整合格域名,如mail.mylinux.com.

            .mylinux.com  #域名

        MACRO        

            ALL        #所有來賓

            LOCAL(本地來賓,IP和服務器在同一個網段的),KNOWN(主機名可以被正常解析的),UNKNOWN,PARANOID(主機名正向和反向解析不匹配)

            EXCEPT #意思是除了,不包含


選項有如下幾種類型寫法:

        DENY   

        ALLOW   

        spawn   #記錄日誌



tcp_wraper宏定義:

%c:代表客戶端信息(user@host)

%s:代表服務器信息(server@host)

%h:客戶端主機名(hostname)

%p:服務ID(server PID)

tcp_wraper宏定義查詢方法: man 5 hosts_access





tcp wraper

ssh僅允許172.16.0.0/16網段訪問:

方法1:

1./etc/hosts.allow

sshd: 172.16.

2./etc/hosts.deny

sshd: ALL


telnet服務不允許172.16.0.0/16訪問,但是允許172.16.100.200訪問,其他客戶端不受控制

方法1:

1./etc/hosts.allow

in.telnetd: 172.16.100.200:spawn echo “`date`, Login attempt from %c to %s” >> /var/log/tcpwarper.log

2./etc/hosts.deny

in.telnetd: 172.16.


方法2:

2./etc/hosts.deny

in.telnetd: 172.16. EXCEPT 172.16.100.200


方法3:

1./etc/hosts.allow

in.telnetd: ALL EXCEPT 172.16.  EXCEPT 172.16.100.200

2./etc/hosts.deny

in.telnetd: 172.16.









發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

tcp 基本工作

TCP由RFC793、RFC1122、RFC1323、RFC2001、RFC2018以及RFC2581定義。 (1) TCP概述 a. TCP提供的

Wen_de_ll 2020-07-08 10:41:26

Socket 和 HTTP 協議

無論你在今後的面試還是項目開發,都會涉及到以下內容,一次性弄懂會讓你省很多時間。 http /socket 1、TCP連接 手機能夠使用聯網功能是因爲手機底層實現了TCP/IP協議,可以使手機終端通過無線網絡建立TCP連接。

iOS_草木皆兵 2020-07-08 04:51:15

Java知識點——NIO完成一個TCP聊天室

1. NIO完成一個TCP聊天室 1.1 NIO TCP聊天室客戶端完成 package com.qfedu.b_niochat; import java.io.IOException; import java.net.Inet

青柠小鱼码字猴 2020-07-08 03:45:43

iptables入門教程--設置靜態防火牆

1、iptables介紹 iptables是複雜的,它集成到linux內核中。用戶通過iptables,可以對進出你的計算機的數據包進行過濾。通過iptables命令設置你的規則,來把守你的計算機網絡──哪些數據允許通過,哪些不能通過,哪

xmq_666 2020-07-07 23:55:25

JAVA序列化和反序列化的常見格式

dubbo RPC是dubbo體系中最核心的一種高性能、高吞吐量的遠程調用方式,我喜歡稱之爲多路複用的TCP長連接調用,簡單的說: 長連接:避免了每次調用新建TCP連接,提高了調用的響應速度 多路複用:單個TCP連接可交替傳輸多個

未知之谜 2020-07-07 19:29:10

H264之SPS PPS

SPS               序列參數集 PPS                    圖像參數集   H264的參數主要是在SPS和PPS中獲得,這裏麪包含了如圖像大小,採用的可選的編碼模式,宏塊到片斷組映射等信息 需要特別指出

媒体盒子 2020-07-07 13:24:53

https 和 SSL

1. HTTPS HTTPS(全稱:Hypertext Transfer Protocol over Secure Socket Layer),是以安全爲目標的HTTP通道,簡單講是HTTP的安全版。即HTTP下加入SSL層,HTTP

稀里糊涂_helen 2020-07-07 12:48:32

TCP連接/撤離中的三次握手與四次揮手過程

 相對於SOCKET開發者,TCP創建過程和鏈接折除過程是由TCP/IP協議棧自動創建的.因此開發者並不需要控制這個過程.但是對於理解TCP底層運作

wangxingbao4227 2020-07-07 06:40:38

redis之事件驅動

        redis服務器是一個事件驅動程序,服務器主要處理以下兩類事件: 文件事件:redis服務器通過套接字與客戶端進行連接,通信時會產生相應的文件事件,而服務器則通過監聽並處理這些事件來完成一系列網絡通信操作。簡言之文件事件就

yang1018679 2020-07-07 02:09:19

redis之啓動服務監聽

        redis是用c語言實現的一個內存數據庫,先從server.c文件中的main()方法看起: int main(int argc, char **argv) { ... initServerConfig(

yang1018679 2020-07-07 02:09:19

元器件封裝類型(2)

  封裝類型70種 其中最常用的就是DIP和SO(SOP),即雙插直列和小型貼片 70種IC封裝術語 1、BGA(ball grid arra

VicoLee 2020-07-07 01:58:55

scholarzhang在ubuntu9.10下編譯安裝實際操作

周海漢 /文   下載源碼: xxx@yyy:~/svn checkout http://scholarzhang.googlecode.com/svn/trunk/ scholarzhang-read-only 環境 xxx@yyy:~

ablo_zhou 2020-07-06 20:08:42

ACL精華課程講解

訪問控制列表: 我們知道網絡上流淌的都是數據包,數據包進入網絡設備和流出網絡設備,在進入網絡設備和流出網絡設備的時候,我們的網絡設備可以對數據包進行過濾,以達到安全、控制數據流的目的。   ●標準IP訪問控制列表 一個標準IP訪問控制列表

yangcage 2020-07-06 15:24:56

Pakistan: Cotton Prices may Slide Fear Traders

While the Trading Corporation of Pakistan has stopped trading local cotton since August 15, local growers and ginners a

chinatextile 2020-07-06 14:27:31

WSAEventSelect剖析

近來在Windows下用WSAEventSelect時,碰到一個棘手的問題,當然現在已經解決了。 問題描述: 一個Server,一個ClientA,一個ClientB,Server用WSAEventSelect模型監聽(只有監聽,沒有

lvwenshuai 2020-07-06 11:08:55